資訊安全政策
本公司為確保公司資訊之機密性、完整性及可用性,已依公司營運要求及相關法令規範,制定資安政策作為資訊安全管理之遵循方針,並藉由內部資安組織之運作以確實執行管理措施,另應建立員工資安風險意識,並藉由管理程序及安全防護技術,以達到資訊蒐集、處理、傳送、儲存及流通之安全目標。
◎ 遵循資訊安全相關法令,及對本公司資訊資產提供適當的保護措施,以確保其機密性、完整性,可用性,以做為公司資訊安全管理與運作之最高指導方針。
◎ 定期評估各種可能之危害或造成對本公司資訊資產之影響,訂定重要資訊資產及關鍵性業務之緊急應變對策及復原計劃,以確保本公司業務能持續運作。
◎ 定期執行資安稽核作業,以確保資訊安全落實執行。
◎ 確保資訊作業之持續運作。
◎ 宣導同仁落實資訊安全防護工作,建立相關業務之資訊安全的責任、觀念與行為規範。
◎ 使用或連結本公司資訊環境之往來廠商、客戶或相關業務資訊接觸之第三方人員,共同遵循本公司資安政策相關規定。
資訊安全組織、成員及監督本公司設立資訊安全委員會,負責訂定、審核資訊安全方針、資源分配及檢視各項措施執行情況,另高階管理階層主管擔任管理代表,負責資訊安全管理事項之協調及推動,並定期召開資安會議及向董事會提出報告。
本公司的資訊安全管理方案
◎ 使用者權限管理:使用者需按照安全等級區分給予不同之使用權限。
◎ 作業系統使用權限安全管理:依公司規定安裝作業系統,並加入公司網域,進行集中管理。作業系統定時安全更新,並於公司內之主機及電腦,安裝防毒軟體,並每日自動下載、更新掃描引擎及病毒碼。使用者帳號之密碼定期更新設定措施。
◎ 應用軟體安全管理:除安裝資訊作業所需的應用軟體以及工具軟體、套裝軟體外,如需安裝其他特殊軟體須另行申請經核准後始得安裝。
◎ 於防火牆設定禁用軟體、網址之隔絕過濾機制,阻絕通行,以避免影響網路品質及安全。
◎ 網路通訊安全管理:外部 VPN( 遠端 ) 存取及內部存取 ( 檔案傳輸 (FTP)、即時傳訊 (LINE)、特殊連線 (HTTPS) 等網路應用均須經資訊單位審查與權限主管核准使得使用。
◎ 應用系統安全管理:資訊單位須限定只能由授權的處理人員才可執行原始程式碼之存取更新;依業務之需求而設定使用者不同之程式執行權限。
◎ 異地備援管理:設有系統災難復原、資料庫之備份管理相關措施。
◎ 資產管理:針對機房設備及個人電腦進行資產編號管理並定期盤點。
◎ 隨時宣導資訊安全,提升員工資安意識。
合晶科技全面強化資訊安全管理,2022 年度資安資源投入包括如下:
